Escanear gratis
Análisis pendienteCVE-2026-35506

CVE-2026-35506: Command Injection in ELECOM WRC-BE72XSD-B

Plataforma

linux

Componente

elecom-wrc-be72xsd-b

Ver en NVD
Guardar

Se ha identificado una vulnerabilidad de inyección de comandos en los dispositivos de punto de acceso inalámbrico ELECOM WRC-BE72XSD-B. Esta falla permite a un atacante, mediante el procesamiento del parámetro pingipaddr en una solicitud especialmente elaborada enviada por un usuario autenticado, ejecutar comandos arbitrarios en el sistema operativo subyacente. Las versiones afectadas son 1.1.0–v1.1.1 y anteriores. Se recomienda actualizar el firmware a una versión corregida o aplicar medidas de mitigación.

Impacto y Escenarios de Ataque

La inyección de comandos es una vulnerabilidad crítica que permite a un atacante tomar el control total del dispositivo afectado. En este caso, un atacante autenticado podría ejecutar comandos arbitrarios en el punto de acceso inalámbrico, lo que podría resultar en la modificación de la configuración del dispositivo, el robo de datos confidenciales, la instalación de malware o incluso el acceso a la red interna a la que está conectado el punto de acceso. La capacidad de ejecutar comandos arbitrarios proporciona un amplio rango de posibilidades para un atacante, permitiendo la ejecución de código malicioso y la recopilación de información sensible.

Contexto de Explotación

La vulnerabilidad CVE-2026-35506 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación. No se han reportado campañas activas de explotación conocidas al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componenteelecom-wrc-be72xsd-b
ProveedorELECOM CO.,LTD.
Versión mínima1.1.0
Versión máximav1.1.1 and earlier

Clasificación de Debilidad (CWE)

CWE-78

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal es actualizar el firmware del ELECOM WRC-BE72XSD-B a una versión corregida que solucione la vulnerabilidad de inyección de comandos. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al punto de acceso solo a usuarios autorizados y monitorear los registros del sistema en busca de actividad sospechosa. Implementar un firewall de aplicaciones web (WAF) puede ayudar a filtrar solicitudes maliciosas. Revise la configuración del punto de acceso para asegurar que solo se permitan los comandos necesarios y que se apliquen políticas de seguridad estrictas.

Cómo corregirlotraduciendo…

Actualice el firmware del dispositivo ELECOM WRC-BE72XSD-B a una versión corregida. Consulte el sitio web de ELECOM para obtener más información sobre las actualizaciones de firmware y las instrucciones de instalación.

Preguntas frecuentes

What is CVE-2026-35506 — Command Injection in ELECOM WRC-BE72XSD-B?

CVE-2026-35506 es una vulnerabilidad de inyección de comandos en el punto de acceso inalámbrico ELECOM WRC-BE72XSD-B que permite la ejecución de comandos arbitrarios en el sistema operativo. Tiene una severidad ALTA (CVSS 7.2).

Am I affected by CVE-2026-35506 in ELECOM WRC-BE72XSD-B?

Si está utilizando una versión del ELECOM WRC-BE72XSD-B anterior a 1.1.0–v1.1.1, es vulnerable a esta vulnerabilidad. Revise la versión de su dispositivo.

How do I fix CVE-2026-35506 in ELECOM WRC-BE72XSD-B?

La solución recomendada es actualizar el firmware del dispositivo a una versión corregida. Si la actualización no es posible, implemente medidas de mitigación como restringir el acceso y monitorear los logs.

Is CVE-2026-35506 being actively exploited?

Hasta el momento, no se han reportado campañas activas de explotación conocidas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official ELECOM advisory for CVE-2026-35506?

Consulte el sitio web oficial de ELECOM o su canal de soporte técnico para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones de seguridad.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...